Avvertenze per la consultazione degli aggiornamenti
Ultima revisione: 25/01/2020
In questa pagina trovi gli aggiornamenti su GDPR e gestione della Privacy.
Per aggiornamenti si intendono:
- sia quelli originati da Modifiche ed Integrazioni delle Leggi esistenti, nuove Normative, nuovi Chiarimenti emanati dagli Organi Competenti;
- sia quelli miei, ossia cosa ritengo di aggiungere rispetto alla versione cartacea del libro.
In sintesi, considera questa pagina come un’Appendice digitale del libro cartaceo.
Per approfondimenti, puoi consultare PerPrivacy, il Prontuario per Gestire al meglio la privacy negli incarichi di CTU, CTP e Perito d’Ufficio, con 24 schede e 57 moduli editabili per tutte le incombenze
AGGIORNAMENTI
Dal 19/09/2018 è in vigore il Decreto Legislativo 101/2018 che regola l’adeguamento della normativa nazionale italiana alle Disposizioni del GDPR.
Attenzione. il GDPR è un Regolamento, non una Direttiva (qui trovi la differenza) . Pertanto, è sempre cogente e di rango superiore al D. Lgs. 101/2018.
Questo implica che laddove due Disposizioni, una contenuta nel GDPR, l’altra nel D. Lgs. 101/2018 fossero confliggenti, sarebbe da considerare predominante (e quindi da applicare) quella contenuta nel GDPR.
Principali oneri, derivanti dal GDPR e dal D. Lgs. 101/2018, a carico dei Consulenti Tecnici Giudiziari (CTU, CTP e Periti d’Ufficio).
Cosa deve essere tutelato?
La Legge tutela il diritto di ogni individuo a che i suoi dati personali (rivelanti identità, abitudini, gusti, ecc.) non possano essere in alcun modo identificati ed associabili ad esso, senza il suo previo consenso.
Principali definizioni
Dato personale. Qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.
Trattamento. Qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.
Titolare del trattamento. La persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri.
Responsabile del trattamento. la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.
Per approfondimenti, puoi consultare PerPrivacy, il Prontuario per Gestire al meglio la privacy negli incarichi di CTU, CTP e Perito d’Ufficio, con 24 schede e 57 moduli editabili per tutte le incombenze.
Consenso dell’interessato. Qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento.
Violazione dei dati personali. La violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.
Disposizioni a cui ottemperare
Per incarichi stragiudiziali (ossia incarichi al di fuori di Procedimenti Giudiziari in Tribunale- di solito, si tratta di quegli incarichi professionali in cui un tecnico è incaricato di redigere una relazione da utilizzare, eventualmente, a sostegno della tesi del proprio cliente, in una controversia non ancora approdata in Tribunale)
- GDPR (per intero)
- D. Lgs. 101/18 (per intero)
- Codici di Condotta (al momento non emanati- si tratta di Codici, elaborati da Organismi ed Associazioni di Categoria, ad esempio gli Ordini Professionali, contenenti Disposizioni “semplificate” ed Indicazioni utilia contribuire alla corretta applicazione del GDPR; l’adesione a un Codice di Condotta (approvato dall’Autorità Garante della Privacy) può essere utilizzata per dimostrare l’applicazione degli adempimenti che il GDPR impone.
Per incarichi processuali (sia d’Ufficio, sia di Parte)
- Delibera Garante della Privacy n° 46/2008 (valida fino ad eventuali Chiarimenti del Garante che, alla data odierna, non sono stati ancora emanati).
- Parziale applicazione del GDPR (perché sono previste esenzioni per l’ambito giudiziario, di cui fanno parte anche i Consulenti d’Ufficio e di Parte)
- Parziale applicazione del D. Lgs. 101/18 (per lo stesso motivo di cui al punto precedente)
- Codici di Condotta (quando saranno emanati)
N.B. Nel caso in cui, nel corso di un incarico di tipo processuale, il Consulente/ Perito dovesse venire a contatto con dati di persone non strettamente interessate dal procedimento giudiziario, si ritornerebbe all’integrale cogenza del GDPR e del D. Lgs.101/18 (salvo esenzioni da individuare volta per volta).
Per approfondimenti, puoi consultare PerPrivacy, il Prontuario per Gestire al meglio la privacy negli incarichi di CTU, CTP e Perito d’Ufficio, con 24 schede e 57 moduli editabili per tutte le incombenze
Inoltre, per qualsiasi tipo di incarico, valgono sempre:
- l’art. 326 del Codice Penale (Rivelazione ed Utilizzazione di Segreti d’Ufficio);
- l’art. 379 bis del Codice Penale (Rivelazione di Segreti inerenti a un procedimento penale)
- l’ art. 2050 Codice Civile- (Responsabilità per l’esercizio di Attività pericolose).
Principali esenzioni per incarichi di consulenza tecnico/ giudiziaria
Tenuta del Registro di Trattamento Dati. Non è obbligatorio tenere il Registro dei Trattamenti salvo che: a) il Consulente/ Perito (d’Ufficio o di Parte) faccia parte (o sia a capo) di un’Organizzazione con almeno 250 dipendenti; b) il trattamento dei dati presenti rischi per diritti e libertà dell’interessato (il che, in ambito giudiziario, non avviene praticamente mai); c) il trattamento riguardi dati soggetti a particolare cautela, elencati agli art. 9, p.1 e 10 del GDPR ( Dati che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona. Dati relativi a condanne penali e reati)
Designazione del Responsabile della Protezione dei Dati (DPO- Data Protection Officer). Ne sono esentati i Consulenti ed i Periti d’Ufficio, ai sensi dell’art. 37 del GDPR.
Per approfondimenti, puoi consultare PerPrivacy, il Prontuario per Gestire al meglio la privacy negli incarichi di CTU, CTP e Perito d’Ufficio, con 24 schede e 57 moduli editabili per tutte le incombenze.
Ulterirori esenzioni per incarichi processuali
Applicazione del GDPR. Il GDRP non si applica nel caso di trattamenti effettuati dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse ( con riguardo agli incarichi giudiziari, questa esclusione può essere utile nei casi di Consulenza Tecnica effettuata per conto di un Pubblico Ministero; per cui, in questo caso saremmo esentati dall’intera applicazione del GDPR. È consigliabile, in ogni caso, chiedere conferma al Pubblico Ministero che trattasi di attività rientranti nella definizione di cui all’art. 2, c.2, lett. D del GDPR)
Divieto di trattamento dati meritevoli di specifica tutela ed attenzione. Il trattamento di dati di cui all’art. 9 del GDPR (Dati che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della person) è vietato, salvo particolari casi: uno di questi è il trattamento in ambito giudiziario, “necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali”. Per cui, in definitiva, negli incarichi possiamo trattare i dati di cui all’art. 9 del GDPR
Obblighi connessi al diritto all’oblio (art. 17 GDPR). I Consulenti ed i Periti sono esentati da tali obblighi, in quanto il trattamento è necessario per “l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria”.
Obblighi connessi al diritto di opposizione; limitazioni di obblighi, diritti e disposizioni (art. 21 del GDPR). Per gli stessi motivi di cui al punto precedente, i Consulenti non sono tenuti ad interrompere il trattamento dati di una persona, anche se la stessa propone opposizione.
Obbligo di inutilizzare dati trattati in violazione del GDPR e delle Disposizioni connesse. In ambito Giudiziario, questo divieto non opera. Pertanto, è possibile utilizzare anche dati trattati in violazione delle Disposizioni Legislative, purché la validità degli stessi sia conformata alle pertinenti Disposizioni Processuali
Inattuabilità dei diritti di cui agli artt. da 15 a 22 del GDPR. Tutti i diritti dell’interessato, di cui agli artt. da 15 a 22 del GDPR non sono esercitabili se, dal loro esercizio, discende un pregiudizio concreto ad attività giudiziarie (vedasi comma c dell’art. 2 undecies del D. Lgs. 101/2018). Di conseguenza, i consulenti tecnici giudiziari non sono tenuti ad assecondare eventuali richieste degli interessati atte ad esercitare tali diritti.
Accesso a Dati sanitari e cartelle cliniche. Di norma precluso a qualsiasi persona diversa dall’interessato, l’accesso a tali Dati è sempre consentito a Consulenti Tecnici Giudiziari, per ragioni di Giustizia.
Accesso agli Atti, in ambito Amministrativo. È sempre garantito ai Consulenti Tecnici Giudiziari, per ragioni di Giustizia.
Trattamento Dati relativi a condanne penali e reati. È consentito ai Consulenti Tecnici Giudiziari, purchè sotto stretto controllo dell’Autorità Pubblica (es. Magistrati, Forze dell’Ordine, ecc.).
Per approfondimenti, puoi consultare PerPrivacy, il Prontuario per Gestire al meglio la privacy negli incarichi di CTU, CTP e Perito d’Ufficio, con 24 schede e 57 moduli editabili per tutte le incombenze
Cosa fare per una corretta gestione della Privacy negli incarichi di CTU CTP e Perito d’Ufficio
- al conferimento dell’incarico, definire le tipologie di trattamento (Raccolta Registrazione Organizzazione Conservazione Consultazione Elaborazione Modificazione Selezione Estrazione Raffronto/ Interconnessione Utilizzo Comunicazione Diffusione Limitazione Cancellazione) e le categorie di dati da trattare nel corso dell’incarico ( Nome e cognome; luogo e indirizzo di residenza ;indirizzo di domicilio/ dimora abituale; indirizzo ;numeri telefonici; indirizzi mail ;codice fiscale; partita IVA ; immagini; luoghi di frequentazione; informazioni relative al luogo di lavoro degli interessati ;rapporti di lavoro e collaborazione ; rapporti crediti/ debiti; versamenti/ pagamenti; fatture ;estratti conto bancari ;preventivi per la fornitura di servizi e l’esecuzione di lavori di terzi; contratti d’appalto per la fornitura di servizi e l’esecuzione di lavori; esistenza di controversie in corso; informazioni sulle abitudini e caratteristiche del nucleo famigliare; documentazione grafica e fotografica dell’abitazione e dei beni mobili; composizione ed identificazione del nucleo famigliare; origine razziale ed etnica; opinioni politiche; convinzioni filosofiche; convinzioni religiose; appartenenza sindacale; dati genetici; dati biometrici ;dati clinici/ di salute; dati riferiti alla vita sessuale ;dati rivelanti l’orientamento sessuale ;qualità di imputato o indagato; sentenze e decreti di condanna irrevocabili ;provvedimenti di applicazione pene accessorie ;misure alternative alla detenzione misure di sicurezza misure patrimoniali (es. sequestro di beni) ; sospensioni di pena; non menzione ;provvedimenti di amnistia; indulto ; grazia dichiarazioni di abitualità e tendenza a delinquere e di professionalità del reato ; provvedimenti di proscioglimento e di non luogo a procedere; provvedimenti di riabilitazione.
- informare, ai sensi degli artt. 13-14 del GDPR, gli interessati del trattamento dati; in caso di incarico di consulente di parte, per i dati relativi alla sola parte assistita, è necessario anche ricevere il consenso al trattamento; se trattasi di minore di 14 anni, il consenso va richiesto a chi ne esercita la potestà genitoriale; se trattasi di minore con età compresa tra 14 e 18 anni il consenso va richiesto con modalità che rendano facile la comprensione della richiesta
- inibire con password, chiavi, catenacci, ecc, l’accesso a dispositivi informatici e/o contenitori fisici in cui sono presenti dati personali
- controllare/ modificare periodicamente password e dispositivi di accesso ai dati, digitali e cartacei
- dotare i PC di antivirus e firewall ed i file contenenti dati di password e/o crittografia
- al termine dell’incarico, distruggere/ cancellare i dati di cui si è venuti in possesso, su qualsiasi supporto ed in qualsiasi formato
- facoltativo: una volta l’anno aggiornare il Documento Programmatico di Sicurezza
Per approfondimenti, puoi consultare PerPrivacy, il Prontuario per Gestire al meglio la privacy negli incarichi di CTU, CTP e Perito d’Ufficio, con 24 schede e 57 moduli editabili per tutte le incombenze
Ultima revisione: 25/01/2020